CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-19960
https://notcve.org/view.php?id=CVE-2020-19960
14 Oct 2021 — A SQL injection vulnerability has been discovered in zz cms version 2019 which allows attackers to retrieve sensitive data via the dlid parameter in the /dl/dl_sendsms.php page cookie. Se ha detectado una vulnerabilidad de inyección SQL en zz cms versión 2019, que permite a atacantes recuperar datos confidenciales por medio del parámetro dlid en la cookie de la página /dl/dl_sendsms.php • https://github.com/zhuxianjin/vuln_repo/blob/master/zzcms2019%20SQL%20injection%20vulnerability%20in%20dl_sendsms.php.md • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-19961
https://notcve.org/view.php?id=CVE-2020-19961
14 Oct 2021 — A SQL injection vulnerability has been discovered in zz cms version 2019 which allows attackers to retrieve sensitive data via the component subzs.php. Se ha detectado una vulnerabilidad de inyección SQL en zz cms versión 2019, que permite a atacantes recuperar datos confidenciales por medio del componente subzs.php • http://zzcms.com • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2020-19822
https://notcve.org/view.php?id=CVE-2020-19822
26 Aug 2021 — A remote code execution (RCE) vulnerability in template_user.php of ZZCMS version 2018 allows attackers to execute arbitrary PHP code via the "ml" and "title" parameters. Una vulnerabilidad de ejecución de código remota (RCE) en el archivo template_user.php de ZZCMS versión 2018, permite a atacantes ejecutar código PHP arbitrario por medio de los parámetros "ml" y "title". • https://cwe.mitre.org/data/definitions/96.html • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35973
https://notcve.org/view.php?id=CVE-2020-35973
03 Jun 2021 — An issue was discovered in zzcms2020. There is a XSS vulnerability that can insert and execute JS code arbitrarily via /user/manage.php. Se ha detectado un problema en zzcms2020. Se presenta una vulnerabilidad de tipo XSS que puede insertar y ejecutar código JS arbitrario por medio de el archivo /user/manage.php • https://github.com/BLL-l/vulnerability_wiki/blob/main/zzcms/user_manage_xss.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-12348
https://notcve.org/view.php?id=CVE-2019-12348
24 May 2021 — An issue was discovered in zzcms 2019. SQL Injection exists in user/ztconfig.php via the daohang or img POST parameter. Se detectó un problema en zzcms versión 2019. La inyección SQL se presenta en el archivo user/ztconfig.php por medio del parámetro daohang o img POST • https://github.com/cby234/zzcms/issues/1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-21342
https://notcve.org/view.php?id=CVE-2020-21342
13 May 2021 — Insecure permissions issue in zzcms 201910 via the reset any user password in /one/getpassword.php. Un problema de permisos no seguros en zzcms versión 201910, por medio del restablecimiento de cualquier contraseña de usuario en el archivo /one/getpassword.php • https://github.com/Ksharp12138/zzcms/issues/1 • CWE-276: Incorrect Default Permissions •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23426
https://notcve.org/view.php?id=CVE-2020-23426
08 Apr 2021 — zzcms 201910 contains an access control vulnerability through escalation of privileges in /user/adv.php, which allows an attacker to modify data for further attacks such as CSRF. zzcms versión 201910, contiene una vulnerabilidad de control de acceso por medio de una escalada de privilegios en el archivo /user/adv.php, que permite a un atacante modificar datos para futuros ataques tal y como un CSRF • https://github.com/Ling-Yizhou/zzcms-vuln/blob/master/Privilege%20Escalation/priviege%20escalation.md • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-23630
https://notcve.org/view.php?id=CVE-2020-23630
11 Jan 2021 — A blind SQL injection vulnerability exists in zzcms ver201910 based on time (cookie injection). Se presenta una vulnerabilidad de inyección SQL ciega en zzcms versión ver201910 basada en tiempo (inyección de cookies) • http://zzcms.com • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-20285
https://notcve.org/view.php?id=CVE-2020-20285
18 Dec 2020 — There is a XSS in the user login page in zzcms 2019. Users can inject js code by the referer header via user/login.php Se presenta un ataque de tipo XSS en la página de inicio de sesión del usuario en zzcms 2019. Los usuarios pueden inyectar código js mediante el encabezado referer por medio del archivo user/login.php • https://github.com/iohex/ZZCMS/blob/master/zzcms2019_login_xss.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-1010153
https://notcve.org/view.php?id=CVE-2019-1010153
23 Jul 2019 — zzcms 8.3 and earlier is affected by: SQL Injection. The impact is: sql inject. The component is: zs/subzs.php. zzcms versión 8.3 y versiones anteriores están afectadas por: Inyección SQL. El impacto es: inyectar sql. El componente es: el archivo zs/subzs.php. • https://gist.github.com/Lz1y/31595b060cd6a031896fdf2b3a1273f5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •